Die BBC, British Airways und die Regierung von Nova Scotia sind bestätigte Opfer
Sicherheitsforscher haben hat eine neue Welle von Massen-Hacks, die auf ein beliebtes Dateiübertragungstool abzielen, mit der berüchtigten Clop-Ransomware-Bande in Verbindung gebracht, als sich die ersten Opfer der Angriffe zu melden beginnen.
Letzte Woche wurde bekannt, dass Hacker eine neu entdeckte Schwachstelle in MOVEit Transfer ausnutzen, einem Dateiübertragungstool, das häufig von Unternehmen zum Austausch großer Dateien über das Internet verwendet wird. Die Sicherheitslücke ermöglicht es Hackern, sich unbefugten Zugriff auf die Datenbank eines betroffenen MOVEit-Servers zu verschaffen. Progress Software, das die MOVEit-Software entwickelt, hat bereits einige Patches veröffentlicht.
Am Wochenende meldeten sich die ersten Opfer der Anschläge.
Zellis, ein in Großbritannien ansässiger Hersteller von Personalsoftware und Gehaltsabrechnungsanbieter, bestätigte gegenüber Tech, dass sein MOVEit-System kompromittiert wurde und der Vorfall eine „kleine Anzahl“ seiner Firmenkunden betraf.
Einer dieser Kunden ist der britische Fluggesellschaftsriese British Airways, der Tech mitteilte, dass der Verstoß die Gehaltsdaten aller seiner in Großbritannien ansässigen Mitarbeiter betraf.
„Wir wurden darüber informiert, dass wir eines der Unternehmen sind, die von Zellis‘ Cybersicherheitsvorfall betroffen sind, der über einen ihrer Drittanbieter namens MOVEit stattfand“, sagte Jason Turnnidge-Betts, Sprecher von British Airways, gegenüber Tech. „Zellis bietet Unterstützungsdienste für die Gehaltsabrechnung für Hunderte von Unternehmen im Vereinigten Königreich an, zu denen auch wir gehören. Wir haben die Kollegen, deren persönliche Daten kompromittiert wurden, benachrichtigt, um ihnen Unterstützung und Rat zu geben.“
British Airways hat nicht bestätigt, wie viele Mitarbeiter betroffen sind, beschäftigt aber derzeit weltweit rund 35.000 Mitarbeiter.
Auch die britische BBC bestätigte, dass sie von dem Vorfall mit Zellis betroffen war. Ein BBC-Sprecher, der sich weigerte, seinen Namen zu nennen, sagte gegenüber Tech: „Wir sind uns eines Datenschutzverstoßes bei unserem Drittanbieter Zellis bewusst und arbeiten eng mit ihnen zusammen, da sie das Ausmaß des Verstoßes dringend untersuchen.“ Wir nehmen den Datenschutz sehr ernst und befolgen die festgelegten Meldeverfahren.“
Das teilte die Regierung von Nova Scotia mit, die MOVEit nutzt, um Dateien abteilungsübergreifend auszutauschen in einer Stellungnahme dass die persönlichen Daten einiger Bürger möglicherweise kompromittiert wurden. Die Regierung von Nova Scotia sagte, sie habe ihr betroffenes System offline geschaltet und arbeite daran, „genau festzustellen, welche Informationen gestohlen wurden und wie viele Menschen betroffen waren“.
Es war zunächst unklar, wer hinter dieser neuen Hackerwelle steckte, doch die Sicherheitsforscher von Microsoft führen die Cyberangriffe auf eine Gruppe zurück, die sie als „Lace Tempest“ verfolgen. Diese Bande ist ein bekannter Ableger der mit Russland verbundenen Clop-Ransomware-Gruppe, die zuvor mit Massenangriffen in Verbindung gebracht wurde, bei denen Schwachstellen im GoAnywhere-Dateiübertragungstool von Fortra und in der Dateiübertragungsanwendung von Accellion ausgenutzt wurden.
Microsoft-Forscher sagten, dass auf die Ausnutzung der MOVEit-Schwachstelle häufig eine Datenexfiltration folgt.
Mandiant macht noch nicht die gleiche Aussage wie Microsoft, wies jedoch in einem Blogeintrag am Wochenende, dass es „bemerkenswerte“ Ähnlichkeiten zwischen einem neu geschaffenen Bedrohungscluster namens UNC4857 mit bisher „unbekannten Beweggründen“ und FIN11 gibt, einer etablierten Ransomware-Gruppe, die dafür bekannt ist, Clop-Ransomware zu betreiben. „Die fortlaufende Analyse neuer Aktivitäten könnte zusätzliche Erkenntnisse liefern“, sagte Mandiant.
Charles Carmakal, Chief Technology Officer bei Mandiant, bestätigte gegenüber Tech letzte Woche, dass das Unternehmen „Beweise für Datenexfiltration bei mehreren Opfern gesehen“ habe.
Es ist wahrscheinlich, dass in den nächsten Tagen noch viele weitere Opfer des MOVEit-Verstoßes ans Licht kommen werden.
Shodan, eine Suchmaschine für öffentlich zugängliche Geräte und Datenbanken, zeigte, dass mehr als 2.500 MOVEit Transfer-Server im Internet auffindbar waren.